APT27

Description de APT27

APT27 (Advanced Persistent Threat) est le nom d'un groupe de piratage originaire de Chine et qui a tendance à s'attaquer à des cibles de premier plan. L'APT27 est également connu sous divers autres alias, notamment Emissary Panda, LuckyMouse et BronzeUnion. Parmi les campagnes les plus connues menées par l'APT27 figurent leurs attaques visant les sous-traitants de la défense des États-Unis. D'autres opérations populaires de l'APT27 comprennent une campagne contre un certain nombre d'entreprises opérant dans le secteur financier, ainsi qu'une attaque lancée contre un centre de données situé en Asie centrale. Les outils de piratage de l'armement de l'APT27 comprennent des menaces qui leur permettraient d'effectuer des opérations de reconnaissance, de collecter des fichiers sensibles sur l'hôte infecté ou de prendre le contrôle du système compromis.

Les chercheurs en cybersécurité ont repéré pour la première fois l'activité de l'APT27 en 2010 et la surveillent de près depuis. Depuis qu'ils ont été repérés pour la première fois, l'APT27 a réussi à compromettre des cibles qui opèrent dans une variété d'industries clés :

  • Gouvernement.
  • La défense.
  • La technologie.
  • Énergie.
  • Fabrication.
  • Aérospatial.

Parmi les outils les plus utilisés dans l'arsenal de piratage de l'APT27 figurent le Gh0st RAT , ZXShell et HyperBro . Cependant, les cyber-escrocs de l'APT27 ne s'appuient pas uniquement sur des outils de piratage personnalisés. L'APT27, comme de nombreux autres APT, utilise également des services légitimes pour ses opérations néfastes, ainsi que des outils de piratage accessibles au public.

APT27 a attaqué une série de cibles pour diverses raisons, du vol de données sur les technologies de pointe à l'espionnage de groupes civils et de dissidents pour le compte du gouvernement.

Emissary Panda utilise des outils facilement disponibles tels que des informations d'identification, des outils et des services natifs de la cible, ainsi que des logiciels malveillants personnalisés développés pour les attaques. Le groupe se concentre sur le maintien d'une présence sur les systèmes compromis pendant une période prolongée.

Il a été observé que le groupe revenait sur les réseaux compromis environ tous les trois mois pour vérifier qu'il avait toujours accès, actualiser l'accès s'il avait été perdu et trouver plus de données intéressantes pour l'attaque.

APT27 démontre que ce qui est ancien est nouveau

L'année dernière, le groupe a déployé des versions mises à jour du cheval de Troie d'accès à distance (RAT) ZxShell. ZxShell a été développé pour la première fois en 2006, avec le code source du programme publié l'année suivante en 2007. Le logiciel malveillant intègre la redirection de paquets Htran et a été signé avec un certificat numérique appartenant à Hangzhou Shunwang Technology Co., ainsi qu'un certificat numérique pour Shanghai Hintsoft Co., Ltd.

APT27 était également probablement à l'origine d'une version modifiée du Gh0st RAT déployée en 2018. Le code source du Gh0st RAT original est également disponible en ligne. La version mise à jour a été utilisée contre plusieurs systèmes dans un réseau compromis. L'échantillon repéré par les chercheurs communique sur le port TCP 443 via un protocole binaire personnalisé, avec des en-têtes modifiés pour mieux masquer les communications du trafic réseau.

Non content d'utiliser des outils trouvés en ligne, APT27 a également développé et utilisé sa propre gamme d'outils propriétaires d'accès à distance. Ces outils, tels que HyperBro et SysUpdate, font le tour depuis 2016.

SysUpdate est une sorte de logiciel malveillant en plusieurs étapes et n'est utilisé que par Emissary Panda. Le logiciel malveillant est diffusé via plusieurs méthodes, telles que des documents Word malveillants utilisant Dynamic Data Exchange (DDE), un déploiement manuel via des informations d'identification volées, des redirections Web et une compromission Web stratégique (SWC).

Déploiement et propagation des logiciels malveillants APT27

Quel que soit le déploiement, la première charge utile est installée via un fichier WinRAR auto-extractible (SFX) qui installe la charge utile de première étape pour SysUpdate. La première étape assure la persistance sur la machine avant d'installer la charge utile de deuxième étape, connue sous le nom de SysUpdate Main. Le logiciel malveillant communique via HTTP et télécharge du code à injecter dans svchost.exe.

SysUpdate Main offre aux attaquants une gamme de capacités d'accès à distance. Le RAT permet aux pirates d'accéder et de gérer des fichiers et des processus sur la machine, d'interagir avec différents services, de lancer un shell de commande, de prendre des captures d'écran et de télécharger d'autres logiciels malveillants selon les besoins.

SysUpdate est un logiciel malveillant remarquablement flexible qui peut être étendu ou réduit selon les besoins via d'autres fichiers de charge utile. La capacité de contrôler efficacement la présence du virus permet aux pirates de cacher toutes leurs capacités, selon les chercheurs en sécurité.

Les acteurs de la menace peuvent tirer parti de leurs outils propriétaires lors d'une intrusion sophistiquée. Ces outils leur donnent plus de contrôle avec un risque réduit de détection. Les acteurs de la menace semblent accéder aux réseaux à l'aide d'outils largement disponibles. Une fois sur le système, ils peuvent contourner les contrôles de sécurité, accéder à un ensemble plus important de privilèges et d'autorisations et conserver l'accès aux systèmes de grande valeur à long terme. Plus APT27 passe de temps sur un réseau cible, plus il peut causer de dommages potentiels. Dans le pire des cas, le groupe pourrait être présent sur un système pendant des années, collectant de nombreuses informations sensibles et causant toutes sortes de dommages.

L'un des outils de piratage personnalisés les plus populaires qui a été développé par l'APT27 est la menace SysUpdate. Il s'agit d'un RAT (Remote Access Trojan) que l'APT27 semble propager via de faux spams et des attaques de la chaîne d'approvisionnement. Les experts en logiciels malveillants pensent que les cyber-escrocs peuvent également installer manuellement le RAT SysUpdate sur les hôtes ciblés, à condition qu'ils les aient infiltrés auparavant. Ce RAT spécifique a une structure modulaire. Cela signifie que l'APT27 peut planter une copie de base de la menace sur l'ordinateur compromis, puis y ajouter plus de fonctionnalités, militarisant davantage le RAT.

L'APT27 semble être un groupe de piratage très flexible - à la fois en ce qui concerne les méthodes de propagation qu'ils utilisent et la grande variété d'outils qu'ils déploient. Cela fait de l'APT27 un groupe de cyber-escrocs plutôt menaçant, qu'il ne faut pas sous-estimer.